この記事は、大部分の作業をAIが担当しています。
- 一次情報の検索...AIが担当
- 検索した情報の要約...AIが担当
- ファクトチェック...人間が担当
この記事はファクトチェックが済んでいません。
- 対象知識:
• 脅威を検出する AWS マネージドセキュリティサービス
• サービス間でデータを結合するためのアノマリーおよび相関手法
• 異常を特定するための視覚化
• セキュリティ調査結果を一元化する戦略- 対象スキル:
• セキュリティサービス (GuardDuty、Security Hub、Macie、AWS Config、IAM Access Analyzer など) から得られた結果の評価
• AWS のサービス全体にわたるセキュリティ脅威の検索と関連付け(Detective の使用など)
• セキュリティイベントを検証するためにクエリを実行 (Amazon Athena の使用など)
• 異常なアクティビティを検出するためのメトリクスフィルターとダッシュボードの作成 (Amazon CloudWatch の使用など)
以下は、タスクステートメント 1.2: AWS のサービスを使用してセキュリティの脅威と異常を検出する に対応する AWS 公式一次情報リソース(User Guide / Developer Guide / AWS Blog / AWS Whitepaper など)を、重要章やリンク付きで Markdown 形式にまとめたものです。
📘 AWS 公式リソースまとめ — 脅威検出・異常検出・可視化
📌 1. AWS Security Hub — 公式ユーザーガイド
🔗 ドキュメント:
https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub-v2.html (AWSドキュメント)
🔎 重要ポイント
- 脅威シグナルの集約 & 相関:Security Hub は GuardDuty、Inspector、Macie など複数の AWS セキュリティサービスの検出結果を自動で結合して可視化します。(AWSドキュメント)
- 統合ビュー & 優先順位:複数ソースの検出結果を統一フォーマット(ASFF)で標準化し、優先度付けされたリスクを一元ビューにします。(AWSドキュメント)
- ダッシュボード & 可視化:攻撃パスグラフや Severity(重大度)別集約などの可視化で全体像を理解できます。(AWSドキュメント)
📌 2. GuardDuty — 脅威検出サービス
🔗 AWS 製品ページ(概要):
https://aws.amazon.com/jp/guardduty/ (Amazon Web Services, Inc.)
🔗 GuardDuty ⇒ Security Hub への統合:
https://docs.aws.amazon.com/guardduty/latest/ug/securityhub-integration.html (AWSドキュメント)
🔎 重要ポイント
- 機械学習 & 異常検出:CloudTrail、VPC Flow Logs、DNS ログなど多数データソースを分析し、脅威を検出します。(Amazon Web Services, Inc.)
- 優先度別 Findings:GuardDuty は重大度(Low / Medium / High / Critical)を付与し、優先順位付けに役立ちます。(Amazon Web Services, Inc.)
- Service 連携:検出結果は Security Hub に送信され、統合ビューに含めることができます。(AWSドキュメント)
📌 3. Macie — 機密データ検出サービス
🔗 AWS 規範ガイダンス(Macie について説明あり):
https://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/aws-security-controls/detective-controls.html (AWSドキュメント)
🔎 重要ポイント
- S3 データの機密情報検出:Macie はパターンマッチング/機械学習を使用して機密データ(PII 等)を検出します。(AWSドキュメント)
- 統合:結果は EventBridge 経由で Security Hub に送信できます。(AWSドキュメント)
📌 4. Amazon Detective — 詳細脅威調査
🔗 公式説明:
https://docs.aws.amazon.com/ja_jp/detective/latest/userguide/what-is-detective.html (AWSドキュメント)
🔎 重要ポイント
- コンテキストとビジュアライゼーション:GuardDuty や Security Hub などの検出結果をさらに深掘りし、時間軸・関係性で可視化します。(AWSドキュメント)
- 統合ログ分析:CloudTrail や VPC Flow Logs を統合し、イベントの関連性を視覚的に表示します。(AWSドキュメント)
📌 5. AWS Config — リソース設定監視 & 可視化
🔗 Security Hub CSPM 統合:
https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-internal-providers.html (AWSドキュメント)
🔎 重要ポイント
- 設定ベースの異常発見:AWS Config はリソース設定変更を継続的にモニタリングし評価します。(AWSドキュメント)
- Security Hub への統合:ルール評価結果は標準化された ASFF として Security Hub に送られます。(AWSドキュメント)
📌 6. CloudWatch での可視化 & 異常検出
🔗 CloudWatch Anomaly Detection:
https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Anomaly_Detection.html (AWSドキュメント)
🔗 Dashboards:
https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html (AWSドキュメント)
🔗 Log Anomaly Detection:
https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/LogsAnomalyDetection.html (AWSドキュメント)
🔎 重要ポイント
- 異常検出モデル:CloudWatch モデルは過去のメトリクスデータから「正常範囲」を学習し、異常値を検出します。(AWSドキュメント)
- ログ異常検出:CloudWatch Logs では、パターンベースの異常ログ検出も設定可能です。(AWSドキュメント)
- ダッシュボード & 可視化:複数のメトリクスやログクエリ結果を統合したダッシュボード作成が可能です。(AWSドキュメント)
📌 7. Athena を使用したクエリ分析
🔗 Athena ドキュメント(クエリ & CloudWatch 連携等):
https://docs.aws.amazon.com/athena/latest/ug/query-metrics-viewing.html (AWSドキュメント)
https://docs.aws.amazon.com/athena/latest/ug/athena-cloudwatch-metrics-enable.html (AWSドキュメント)
🔎 重要ポイント
- セキュリティイベントクエリ:Athena は S3 上のログ(CloudTrail, VPC Flow Log など)に SQL クエリを実行して、セキュリティイベントを分析できます。
- CloudWatch 連携:Athena のクエリメトリクスを CloudWatch に送信し、可視化・アラーム設定可能です。(AWSドキュメント)
📌 学習ガイド — どのドキュメントをどの順で読むべきか
| 学習テーマ | 推奨ドキュメント |
|---|---|
| 脅威検出を理解する | GuardDuty 製品ページ & 統合ガイド (Amazon Web Services, Inc.) |
| 検出結果の統合と相関 | Security Hub User Guide (AWSドキュメント) |
| データソースの活用 | AWS Config + EventBridge 統合 (AWSドキュメント) |
| 異常検出と可視化 | CloudWatch Anomaly Detection & Dashboards (AWSドキュメント) |
| ログやイベント分析 | Athena クエリによる調査・分析 (AWSドキュメント) |
| 詳細脅威調査 | Amazon Detective Guide (AWSドキュメント) |
必要であれば、上記公式リソースから 具体的な実装例(手順 / サンプル JSON / CloudWatch Insights クエリ / Athena SQL) を抜粋した Markdown まとめも作成できますので、続けてご依頼ください。